Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   Установка прграмм без пароля админа. (http://forum.oszone.net/showthread.php?t=255079)

Cruzenshtern 27-02-2013 16:10 2100367

Установка прграмм без пароля админа.
 
Есть Домен 2008 в офисе центральном.

Есть офис в Питере пока workgroup.

Сопряжены офисы по ВПН на коробочных роутерах.

Есть мысль поставить в Питере RODC, чтобы вся инфа с центрального офиса AD текла в Питер.

Пока это все в планах, но есть одна проблема, я админ один и сижу в Москве. Нужно чтобы юзеры могли сами там ставить себе на комп проги, без пароля. Но всякие настройки ОС делать можно было только через пароль. Как это можно сделать через ГП?

Есть конешно одна мысль, сделать админом (руководителя) т.к. если из рядовых кого-то сделаешь админом, пароль и логин быстро разойдется по всем.

Спасибо всем заранее!

З.Ы. Вопрос как раз про RODC. Если упадет канал интернета то юзеры Питерского офиса смогут залогиниться на своих компах?

astomper7 27-02-2013 16:27 2100380

Cruzenshtern, политиками можно, через Restricted Users. Создаете глобальную ГБ, например, LocalAdmins, в нее включаете доменных пользователей, которым даете права локального админа. Создаете GPO, в конфигурации компьютера в параметрах безопасности создаете группу с ограниченными правами (LocalAdmins), указываете, что она входит во встроенные (builtin) группы - администраторы, administrators. Все.

exo 27-02-2013 16:28 2100382

Цитата:

Цитата Cruzenshtern
З.Ы. Вопрос как раз про RODC. Если упадет канал интернета то юзеры Питерского офиса смогут залогиниться на своих компах? »

да.
Цитата:

Цитата Cruzenshtern
Нужно чтобы юзеры могли сами там ставить себе на комп проги, без пароля »

можно попробовать группу опытные пользователи, это слегка урезанный админ.

Cruzenshtern 27-02-2013 17:00 2100410

Цитата:

Цитата astomper7
Cruzenshtern, политиками можно, через Restricted Users. Создаете глобальную ГБ, например, LocalAdmins, в нее включаете доменных пользователей, которым даете права локального админа. Создаете GPO, в конфигурации компьютера в параметрах безопасности создаете группу с ограниченными правами (LocalAdmins), указываете, что она входит во встроенные (builtin) группы - администраторы, administrators. Все. »

Спасибо! Но это же можно сделать в ГПО в "локальные пользователи и группы" или Ваша мысль более глубокая? :)

Цитата:

Цитата exo
можно попробовать группу опытные пользователи, это слегка урезанный админ. »

Опытные пользователи не прошли. ПопробЫвал сейчас на рядовом юзере, применил политики, вышел из системы и зашел снова. При установке скайпа просит пароль и логин. Ввожу данные рядового юзера, пишет нужно повышение прав.

Нашел учетку проверенные пользователи, вот щас с ней попробую поэксперементировать.

Хотя по ссылке говорится следующие насчет опытных юзеров:

Опытные пользователи могут:
выполнять приложения, сертифицированные для Windows 2000 и Windows XP Professional, а также устаревшие приложения;
устанавливать программы, не изменяющие файлы операционной системы, и системные службы;
настраивать ресурсы на уровне системы, включая принтеры, дату и время, параметры электропитания и другие ресурсы панели управления;
создавать и управлять локальными учетными записями пользователей и групп;
останавливать и запускать системные службы, не запущенные по умолчанию.
Опытные пользователи не могут добавлять себя в группу "Администраторы". Они не имеют доступа к данным других пользователей на томе NTFS, если соответствующие разрешения этих пользователей не получены. Поскольку опытные пользователи могут устанавливать и изменять программы, работа под учетной записью группы "Опытные пользователь" при подключении к Интернету может сделать систему уязвимой для троянских коней и других программ, угрожающих безопасности.

WindowsNT 27-02-2013 17:15 2100427

Установка программ — задача Администратора. Требует локальных административных полномочий.
Злоупотребление которыми, конечно же, неизбежно приведёт к вирусному поражению.

Фактически, вы просите криминал: "помогите мне уничтожить свою сеть".

exo 27-02-2013 17:21 2100430

Цитата:

Цитата WindowsNT
Фактически, вы просите криминал: "помогите мне уничтожить свою сеть". »

омг...

Cruzenshtern 27-02-2013 17:23 2100433

Цитата:

Цитата WindowsNT
Фактически, вы просите криминал: "помогите мне уничтожить свою сеть". »

Логично. Сам не хочу.

Скажите как мне действовать при вопросе юзера, а поставь мне скайп а то общаться надо?

Вижу только вариант, Заходить удаленно на комп под админом и ставить данное ПО. Потом юзеру останеться добавить ярлычок на раб.стол и пусть пользуется.

exo 27-02-2013 17:29 2100438

Цитата:

Цитата Cruzenshtern
а поставь мне скайп а то общаться надо? »

если я не ошибаюсь, то скайп можно поставить и через Windows Update, который вы настраиваете через GPO.
http://support.microsoft.com/kb/2692954 - или это только обновление.

Есть второй вариант - определите в компании список используемого ПО, и установите на все машины в ручную или через те же GPO

Xaegr 27-02-2013 17:38 2100451

Кроме групповых политик, если вы хотите чтобы пользователи сами могли заказывать себе ПО не имея административных полномочий, можно использовать, например, System Center Configuration Manager. Разумеется установку ПО всё равно придётся автоматизировать, просто пользователи уже смогут самостоятельно запускать установку разрешенного для них ПО.

Cruzenshtern 27-02-2013 18:10 2100470

Скайп я для примера привел.
А как же ставить всякие обновления, того же самого adobe reader flash player и т.д. ??? Не бегать жеж по всем и вводить пароль.

И в догонку хотел спросить, как отключить подтверждении от удаленного компа на вход по РДП ??? Не могу найти.

exo 27-02-2013 18:30 2100486

Цитата:

Цитата Cruzenshtern
И вдогонку хотел спросить, как отключить подтверждении от удаленного компа на вход по РДП ??? Не могу найти. »

какое подтверждение?

astomper7 27-02-2013 19:55 2100548

Цитата:

Цитата Cruzenshtern
Спасибо! Но это же можно сделать в ГПО в "локальные пользователи и группы" или Ваша мысль более глубокая? »

Я имею в виду НЕ локальные политики!)

Iska 27-02-2013 23:07 2100676

Цитата:

Цитата Cruzenshtern
того же самого adobe reader flash player »

Использовать msi: Adobe Flash Player Distribution.


Время: 16:43.

Время: 16:43.
© OSzone.net 2001-